Subaru

セキュリティ研究者が、スバルのスターリンク・サービスに任意のアカウント乗っ取りの欠陥を発見した。この欠陥により、攻撃者はナンバープレートだけで米国、カナダ、日本の車両を追跡、制御、乗っ取ることができる。

バグ賞金稼ぎであるサム・カリー氏は2024年11月20日、研究者シュバム・シャー氏の協力を得て、この脆弱性を発見したことを明らかにした

彼らは、潜在的な攻撃者が米国、カナダ、日本のすべての顧客アカウントと車両に無制限にアクセスできるセキュリティ上の欠陥があることを発見した。唯一の要件は、被害者の姓と郵便番号、電子メールアドレス、電話番号、ナンバープレートを事前に知っていることだった。

とりわけ、悪用に成功すると、スバルの顧客をターゲットにしたハッカーは以下のことを可能にする可能性があった:

  • 遠隔操作による車両の発進、停止、ロック、アンロック、現在位置の取得。
  • 過去1年間の車両の位置情報履歴を取得(5メートル以内の精度で、エンジン始動のたびに更新)。
  • 緊急連絡先、許可されたユーザー、住所、請求情報(例:クレジットカードの下4桁(カード番号を除く))、車両の暗証番号など、顧客の個人を特定できる情報(PII)の照会および取得。
  • サポート・コール履歴、以前の所有者、走行距離計、販売履歴など、その他のユーザー・データへのアクセス。

カリー氏はまた、スターリンクの脆弱性を悪用することで、スバル車の1年分以上の位置情報をわずか10秒で取得できることを示すビデオも公開した。

研究者が発見したように、Subaru Starlinkの管理ポータルには、Subaruの従業員が確認トークンなしで有効な電子メールを使用してアカウントをリセットできるように設計された「resetPassword.json」APIエンドポイントに起因する任意のアカウント乗っ取りの欠陥が含まれていた。

従業員のアカウントを乗っ取った後、Curryはポータルにアクセスするために二要素認証(2FA)のプロンプトを迂回する必要がありました。しかし、これもポータルのユーザー・インターフェースからクライアント側のオーバーレイを削除することで簡単に回避できた。

「他にもたくさんのエンドポイントがありました。そのうちのひとつが車両検索で、顧客の姓名と郵便番号、電話番号、電子メールアドレス、車体番号(ナンバープレートから検索可能)を照会し、その車両へのアクセスを許可/変更することができました。

“ダッシュボードで自分の車を検索して見つけた後、私はSTARLINK管理者ダッシュボードが、米国、カナダ、日本のほぼすべてのスバルにアクセスできるはずであることを確認した。”

研究者はまた、友人のスバルの車のナンバープレートを使用して、ポータルに記載されているすべてのアクションを実行できることをテストした。

カリー氏によると、スバルは研究者の報告から24時間以内に脆弱性のパッチを適用し、攻撃者に悪用されることはなかったという。

カリー氏を含むセキュリティ研究者グループは、起亜自動車のディーラーポータルに同様のセキュリティ上の欠陥を発見し、ハッカーが対象となる車のナンバープレートだけを使って、2013年以降に製造された数百万台の起亜自動車を探し出し、盗むことを可能にしていた。